경제

지난해 개인정보 유출 사고 307건…원인 1위는 해킹

입력 2025.03.20 12:00

수정 2025.03.20 17:35

펼치기/접기

배문규 기자

2024년 개인정보 유출 신고 동향. 개인정보보호위원회 제공

지난해 개인정보 유출 원인은 해킹이 절반 이상을 차지했다. 공공기관 유출 신고 건수는 전년도에 비해 2배 이상 늘어난 것으로 집계됐다.

개인정보보호위원회·한국인터넷진흥원은 20일 지난해 개인정보 유출 사고를 분석한 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 통해 이같이 밝혔다.

보고서에 따르면 지난해 유출 신고 건수는 총 307건으로 전년도(318건)와 비슷한 수준이었다. 유출 원인은 해킹이 56%(171건)으로 가장 높은 비중을 차지했으며, 업무 과실 30%(91건), 시스템 오류 7%(23건)가 뒤를 이었다.

해킹 사고 유형은 관리자 페이지 비정상 접속(23건), 에스큐엘(SQL) 인젝션(17건), 악성 코드(13건), 크리덴셜 스터핑(9건) 순이었다. 불법적인 접근은 있었으나 원인이 밝혀지지 않은 사건(87건)도 절반이나 됐다.

SQL(데이터 처리 언어) 인젝션 공격은 악의적인 SQL문을 삽입해 데이터베이스가 비정상적인 동작을 하도록 조작하는 공격 기법이며, 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 취득한 계정·비밀번호 정보를 다른 사이트에도 동일하게 대입하여 성공할 때까지 로그인을 시도하는 공격을 뜻한다.

업무과실로 인한 유출은 게시판이나 단체채팅방 등에서 개인정보 파일을 게시한 경우(27건)가 가장 많았다. 이메일 동보(단체) 발송(10건), 이메일 및 공문 내 개인정보 파일을 잘못 첨부한 경우(7건)도 있었다.

공공기관 유출 신고는 2023년 9월 개인정보보호법 개정으로 신고 기준이 상향되면서 전체 유출 신고가 104건(34%)으로 전년도(41건) 대비 2배 이상 늘었다. 세부 공공기관별로는 중앙행정기관·지방자치단체(42%), 대학교·교육청(41%), 공공기관·특수법인(17%) 순이었다.

경제 많이 본 기사

민간기업 유출 신고는 203건(66%)으로 전년도(277건) 대비 약간 줄었다. 중소기업(60%), 해외사업자(12%), 협단체(12%), 중견기업(11%), 대기업(5%) 순으로 나타났다.

개인정보위는 크리덴셜 스터핑 공격, SQL 인젝션 공격을 탐지·차단할 수 있는 보호조치 마련을 주문했다. 또한 업무 과실로 인한 개인정보 유출을 막기 위해 게시판·홈페이지 등에 자료 업로드 시에는 주민등록번호 등 민감한 개인정보가 포함되었는지 확인하고, 메일 발송 시에는 수신자 개인별 발송 기능을 기본으로 설정해 두도록 안내했다.